{"id":71157,"date":"2026-07-16T15:01:55","date_gmt":"2026-07-16T19:01:55","guid":{"rendered":"https:\/\/ermdigital.com\/?p=71157"},"modified":"2026-07-16T15:01:55","modified_gmt":"2026-07-16T19:01:55","slug":"los-ciberatacantes-vinculados-a-rusia-tienen-un-nuevo-refugio-para-operar-routers-mal-configurados-por-todo-el-mundo","status":"publish","type":"post","link":"https:\/\/ermdigital.com\/?p=71157","title":{"rendered":"Los ciberatacantes vinculados a Rusia tienen un nuevo refugio para operar: routers mal configurados por todo el mundo"},"content":{"rendered":"<p>\n      <img decoding=\"async\" src=\"https:\/\/i.blogs.es\/760ec7\/router-comprometido-1\/1024_2000.jpeg\" alt=\"Los ciberatacantes vinculados a Rusia tienen un nuevo refugio para operar: routers mal configurados por todo el mundo \">\n    <\/p>\n<p>El router suele quedarse fuera de nuestra atenci\u00f3n: lo instalamos, comprobamos que hay conexi\u00f3n y dejamos que siga funcionando durante meses o a\u00f1os. Sin embargo, ese peque\u00f1o equipo que conecta una casa o una oficina con Internet tambi\u00e9n puede convertirse en una pieza \u00fatil para quienes buscan ocultar sus operaciones. El problema no est\u00e1 en lo que vemos, sino en lo que puede ocurrir en segundo plano cuando la configuraci\u00f3n es d\u00e9bil o el firmware queda desactualizado. Y ah\u00ed empieza una historia que ya no afecta solo a especialistas en seguridad.<\/p>\n<p><!-- BREAK 1 --><\/p>\n<p><strong>El escondite estaba en el router.<\/strong> Esa posibilidad dej\u00f3 de ser una advertencia abstracta el 13 de julio de 2026. CISA, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos, <a rel=\"noopener, noreferrer\" href=\"https:\/\/www.cisa.gov\/news-events\/cybersecurity-advisories\/aa26-194a\">alert\u00f3 de que<\/a> actores del Centro 16 del FSB, el servicio de seguridad ruso, siguen aprovechando dispositivos de red vulnerables o mal configurados en distintos pa\u00edses. Seg\u00fan el aviso, esa actividad ya ha permitido comprometer redes de varios sectores de infraestructuras cr\u00edticas. La advertencia fue emitida conjuntamente con organismos de Australia, Dinamarca, Nueva Zelanda y Reino Unido.<\/p>\n<p><strong>Una identidad prestada<\/strong>. El objetivo no es quedarse en el router, sino utilizarlo como intermediario para otras operaciones. Cuando el tr\u00e1fico pasa por un dispositivo instalado en una vivienda o una peque\u00f1a oficina, la conexi\u00f3n puede parecer la de cualquier usuario leg\u00edtimo. Es lo que se conoce como <a rel=\"noopener, noreferrer\" href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/google-continued-disruption-residential-proxy-networks\">proxy residencial<\/a>: una conexi\u00f3n dom\u00e9stica utilizada como intermediaria para ocultar desde d\u00f3nde act\u00faa realmente el atacante. Para las defensas de una organizaci\u00f3n, distinguir a primera vista entre una conexi\u00f3n normal y una actividad maliciosa resulta mucho m\u00e1s dif\u00edcil.<\/p>\n<p><!-- BREAK 2 --><\/p>\n<p><strong>El rastreo empieza en Internet<\/strong>. Para encontrar nuevos dispositivos, los atacantes recorren rangos de direcciones IP en busca de routers con <a rel=\"noopener, noreferrer\" href=\"https:\/\/www.manageengine.com\/network-monitoring\/what-is-snmp.html\">agentes SNMP<\/a> activos, un protocolo utilizado para consultar y administrar equipos conectados a una red. El riesgo aparece cuando ese servicio est\u00e1 expuesto y acepta credenciales comunes o las que ven\u00edan configuradas de f\u00e1brica. En ese escenario, el equipo puede responder a alguien que no deber\u00eda tener acceso. El primer paso consiste, por tanto, en localizar cu\u00e1les siguen anunci\u00e1ndose en Internet con una configuraci\u00f3n d\u00e9bil.<\/p>\n<p><strong>De objetivo a herramienta<\/strong>. Encontrar un router expuesto no basta para controlarlo. Seg\u00fan CISA, los actores env\u00edan tr\u00e1fico malicioso con direcciones IP de origen suplantadas y aprovechan el agente SNMP mal configurado para ejecutar malware en el dispositivo. Lo hacen, adem\u00e1s, desde redes formadas por otros routers ya comprometidos, de modo que el sistema se alimenta a s\u00ed mismo. El proceso tiene tres fases: primero encuentran el equipo, despu\u00e9s explotan su configuraci\u00f3n y, finalmente, lo incorporan a la red desde la que seguir\u00e1n buscando nuevos objetivos.<\/p>\n<p><!-- BREAK 3 --><\/p>\n<div class=\"article-asset article-asset-normal article-asset-center\">\n<div class=\"desvio-container\">\n<div class=\"desvio\">\n<div class=\"desvio-figure js-desvio-figure\">\n    <a href=\"https:\/\/www.xataka.com\/privacidad\/meta-google-microsoft-podran-seguir-rastreando-tus-mensajes-2028-a-pesar-que-mayoria-parlamento-europeo-voto\" class=\"pivot-outboundlink\" data-vars-post-title=\"Meta, Google y Microsoft podr\u00e1n seguir rastreando tus mensajes hasta 2028. A pesar de que la mayor\u00eda del Parlamento Europeo vot\u00f3 en contra\u00a0 \"><br \/>\n     <img loading=\"lazy\" decoding=\"async\" alt=\"Meta, Google y Microsoft podr\u00e1n seguir rastreando tus mensajes hasta 2028. A pesar de que la mayor\u00eda del Parlamento Europeo vot\u00f3 en contra\u00a0 \" width=\"375\" height=\"142\" src=\"https:\/\/i.blogs.es\/bde703\/original\/375_142.jpeg\"><br \/>\n    <\/a>\n   <\/div>\n<div class=\"desvio-summary\">\n<div class=\"desvio-taxonomy js-desvio-taxonomy\">\n     <a href=\"https:\/\/www.xataka.com\/privacidad\/meta-google-microsoft-podran-seguir-rastreando-tus-mensajes-2028-a-pesar-que-mayoria-parlamento-europeo-voto\" class=\"desvio-taxonomy-anchor pivot-outboundlink\" data-vars-post-title=\"Meta, Google y Microsoft podr\u00e1n seguir rastreando tus mensajes hasta 2028. A pesar de que la mayor\u00eda del Parlamento Europeo vot\u00f3 en contra\u00a0 \">En Xataka<\/a>\n    <\/div>\n<p>    <a href=\"https:\/\/www.xataka.com\/privacidad\/meta-google-microsoft-podran-seguir-rastreando-tus-mensajes-2028-a-pesar-que-mayoria-parlamento-europeo-voto\" class=\"desvio-title js-desvio-title pivot-outboundlink\" data-vars-post-title=\"Meta, Google y Microsoft podr\u00e1n seguir rastreando tus mensajes hasta 2028. A pesar de que la mayor\u00eda del Parlamento Europeo vot\u00f3 en contra\u00a0 \">Meta, Google y Microsoft podr\u00e1n seguir rastreando tus mensajes hasta 2028. A pesar de que la mayor\u00eda del Parlamento Europeo vot\u00f3 en contra\u00a0 <\/a>\n   <\/div>\n<\/p><\/div>\n<\/p><\/div>\n<\/div>\n<p><strong>El ataque sale desde otra casa<\/strong> Una vez incorporado a ese entramado, el router empieza a actuar como nodo de salida, es decir, como el \u00faltimo punto visible antes de que el tr\u00e1fico llegue al objetivo. Para quien recibe la conexi\u00f3n, la actividad no parece proceder de sistemas vinculados al FSB, sino de una direcci\u00f3n IP de apariencia leg\u00edtima. Esa cobertura puede reducir las posibilidades de bloqueo autom\u00e1tico y complica el trabajo de quienes intentan reconstruir la ruta hasta los responsables de la operaci\u00f3n.<\/p>\n<p><!-- BREAK 4 --><\/p>\n<p><strong>Una persecuci\u00f3n que no termina:<\/strong> la utilidad de esta red de intermediarios se entiende mejor cuando observamos sus posibles destinos. CISA se\u00f1ala redes de comunicaciones, defensa, energ\u00eda, servicios financieros y organismos p\u00fablicos, todos ellos sectores donde una conexi\u00f3n aparentemente leg\u00edtima puede facilitar sondeos o ataques posteriores. El fen\u00f3meno, adem\u00e1s, no empez\u00f3 con esta advertencia: Actores rusos y chinos llevan a\u00f1os disput\u00e1ndose y reutilizando routers comprometidos. Aunque gobiernos y compa\u00f1\u00edas han logrado desinfectar dispositivos y desarticular botnets, sus operadores suelen reconstruirlas incorporando nuevos equipos.<\/p>\n<p><strong>Cerrar la puerta<\/strong>. CISA recomienda desactivar SNMP 1 y 2, versiones que no cifran las contrase\u00f1as ni incorporan protecciones actuales, y utilizar SNMP 3 \u00fanicamente cuando sea necesario. Si no empleamos este protocolo para administrar la red, la opci\u00f3n m\u00e1s segura es apagarlo por completo. El organismo tambi\u00e9n aconseja deshabilitar Cisco Smart Install, sustituir las credenciales d\u00e9biles, instalar las actualizaciones de firmware y limitar otros protocolos de red innecesarios. El router puede pasar desapercibido durante a\u00f1os, pero eso no significa que debamos dejarlo funcionando sin mantenimiento.<\/p>\n<p><!-- BREAK 5 --><\/p>\n<p>Im\u00e1genes | Xataka con Nano Banana<\/p>\n<p>En Xataka | <a href=\"https:\/\/www.xataka.com\/seguridad\/jordi-nebot-ceo-paynopain-suben-alojamientos-fotografias-robadas-hechas-ia-precio-llamativo\">Jordi Nebot, CEO de PaynoPain: \"Suben alojamientos con fotograf\u00edas robadas o hechas con IA y un precio llamativo\"<\/a><\/p>\n<p> &#8211; <br \/> La noticia<br \/>\n      <a href=\"https:\/\/www.xataka.com\/robotica-e-ia\/ciberatacantes-vinculados-a-rusia-tienen-nuevo-refugio-para-operar-routers-mal-configurados-todo-mundo?utm_source=feedburner&amp;utm_medium=feed&amp;utm_campaign=16_Jul_2026\"><br \/>\n       <em> Los ciberatacantes vinculados a Rusia tienen un nuevo refugio para operar: routers mal configurados por todo el mundo  <\/em><br \/>\n      <\/a><br \/>\n      fue publicada originalmente en<br \/>\n      <a href=\"https:\/\/www.xataka.com\/?utm_source=feedburner&amp;utm_medium=feed&amp;utm_campaign=16_Jul_2026\"><br \/>\n       <strong> Xataka <\/strong><br \/>\n      <\/a><br \/>\n             por<br \/>\n               <a href=\"https:\/\/www.xataka.com\/autor\/javier-marquez?utm_source=feedburner&amp;utm_medium=feed&amp;utm_campaign=16_Jul_2026\"><br \/>\n        Javier Marquez<br \/>\n        <\/a><br \/>\n             . <\/p>\n<p>\u00a0El router suele quedarse fuera de nuestra atenci\u00f3n: lo instalamos, comprobamos que hay conexi\u00f3n y dejamos que siga funcionando durante meses o a\u00f1os. Sin embargo, ese peque\u00f1o equipo que conecta una casa o una oficina con Internet tambi\u00e9n puede convertirse en una pieza \u00fatil para quienes buscan ocultar sus operaciones. El problema no est\u00e1 en lo que vemos, sino en lo que puede ocurrir en segundo plano cuando la configuraci\u00f3n es d\u00e9bil o el firmware queda desactualizado. Y ah\u00ed empieza una historia que ya no afecta solo a especialistas en seguridad.<br \/>\nEl escondite estaba en el router. Esa posibilidad dej\u00f3 de ser una advertencia abstracta el 13 de julio de 2026. CISA, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos, alert\u00f3 de que actores del Centro 16 del FSB, el servicio de seguridad ruso, siguen aprovechando dispositivos de red vulnerables o mal configurados en distintos pa\u00edses. Seg\u00fan el aviso, esa actividad ya ha permitido comprometer redes de varios sectores de infraestructuras cr\u00edticas. La advertencia fue emitida conjuntamente con organismos de Australia, Dinamarca, Nueva Zelanda y Reino Unido.<br \/>\nUna identidad prestada. El objetivo no es quedarse en el router, sino utilizarlo como intermediario para otras operaciones. Cuando el tr\u00e1fico pasa por un dispositivo instalado en una vivienda o una peque\u00f1a oficina, la conexi\u00f3n puede parecer la de cualquier usuario leg\u00edtimo. Es lo que se conoce como proxy residencial: una conexi\u00f3n dom\u00e9stica utilizada como intermediaria para ocultar desde d\u00f3nde act\u00faa realmente el atacante. Para las defensas de una organizaci\u00f3n, distinguir a primera vista entre una conexi\u00f3n normal y una actividad maliciosa resulta mucho m\u00e1s dif\u00edcil.<br \/>\nEl rastreo empieza en Internet. Para encontrar nuevos dispositivos, los atacantes recorren rangos de direcciones IP en busca de routers con agentes SNMP activos, un protocolo utilizado para consultar y administrar equipos conectados a una red. El riesgo aparece cuando ese servicio est\u00e1 expuesto y acepta credenciales comunes o las que ven\u00edan configuradas de f\u00e1brica. En ese escenario, el equipo puede responder a alguien que no deber\u00eda tener acceso. El primer paso consiste, por tanto, en localizar cu\u00e1les siguen anunci\u00e1ndose en Internet con una configuraci\u00f3n d\u00e9bil.<br \/>\nDe objetivo a herramienta. Encontrar un router expuesto no basta para controlarlo. Seg\u00fan CISA, los actores env\u00edan tr\u00e1fico malicioso con direcciones IP de origen suplantadas y aprovechan el agente SNMP mal configurado para ejecutar malware en el dispositivo. Lo hacen, adem\u00e1s, desde redes formadas por otros routers ya comprometidos, de modo que el sistema se alimenta a s\u00ed mismo. El proceso tiene tres fases: primero encuentran el equipo, despu\u00e9s explotan su configuraci\u00f3n y, finalmente, lo incorporan a la red desde la que seguir\u00e1n buscando nuevos objetivos.<\/p>\n<p>     En Xataka<\/p>\n<p>    Meta, Google y Microsoft podr\u00e1n seguir rastreando tus mensajes hasta 2028. A pesar de que la mayor\u00eda del Parlamento Europeo vot\u00f3 en contra\u00a0 <\/p>\n<p>El ataque sale desde otra casa Una vez incorporado a ese entramado, el router empieza a actuar como nodo de salida, es decir, como el \u00faltimo punto visible antes de que el tr\u00e1fico llegue al objetivo. Para quien recibe la conexi\u00f3n, la actividad no parece proceder de sistemas vinculados al FSB, sino de una direcci\u00f3n IP de apariencia leg\u00edtima. Esa cobertura puede reducir las posibilidades de bloqueo autom\u00e1tico y complica el trabajo de quienes intentan reconstruir la ruta hasta los responsables de la operaci\u00f3n.<br \/>\nUna persecuci\u00f3n que no termina: la utilidad de esta red de intermediarios se entiende mejor cuando observamos sus posibles destinos. CISA se\u00f1ala redes de comunicaciones, defensa, energ\u00eda, servicios financieros y organismos p\u00fablicos, todos ellos sectores donde una conexi\u00f3n aparentemente leg\u00edtima puede facilitar sondeos o ataques posteriores. El fen\u00f3meno, adem\u00e1s, no empez\u00f3 con esta advertencia: Actores rusos y chinos llevan a\u00f1os disput\u00e1ndose y reutilizando routers comprometidos. Aunque gobiernos y compa\u00f1\u00edas han logrado desinfectar dispositivos y desarticular botnets, sus operadores suelen reconstruirlas incorporando nuevos equipos.<br \/>\nCerrar la puerta. CISA recomienda desactivar SNMP 1 y 2, versiones que no cifran las contrase\u00f1as ni incorporan protecciones actuales, y utilizar SNMP 3 \u00fanicamente cuando sea necesario. Si no empleamos este protocolo para administrar la red, la opci\u00f3n m\u00e1s segura es apagarlo por completo. El organismo tambi\u00e9n aconseja deshabilitar Cisco Smart Install, sustituir las credenciales d\u00e9biles, instalar las actualizaciones de firmware y limitar otros protocolos de red innecesarios. El router puede pasar desapercibido durante a\u00f1os, pero eso no significa que debamos dejarlo funcionando sin mantenimiento.<br \/>\nIm\u00e1genes | Xataka con Nano Banana<br \/>\nEn Xataka | Jordi Nebot, CEO de PaynoPain: \"Suben alojamientos con fotograf\u00edas robadas o hechas con IA y un precio llamativo\"<\/p>\n<p>                 &#8211;  La noticia<\/p>\n<p>        Los ciberatacantes vinculados a Rusia tienen un nuevo refugio para operar: routers mal configurados por todo el mundo  <\/p>\n<p>      fue publicada originalmente en<\/p>\n<p>        Xataka <\/p>\n<p>             por <\/p>\n<p>        Javier Marquez<\/p>\n<p>             .\u00a0\u00a0\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"<p>El router suele quedarse fuera de nuestra atenci\u00f3n: lo instalamos, comprobamos que hay conexi\u00f3n y dejamos que siga funcionando durante meses o a\u00f1os. Sin embargo, ese peque\u00f1o equipo que conecta una casa o una oficina con Internet tambi\u00e9n puede convertirse en una pieza \u00fatil para quienes buscan ocultar sus operaciones. El problema no est\u00e1 en [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":71158,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"amp_status":"","footnotes":""},"categories":[6],"tags":[],"class_list":["post-71157","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciencia-y-tecnologia"],"_links":{"self":[{"href":"https:\/\/ermdigital.com\/index.php?rest_route=\/wp\/v2\/posts\/71157","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/ermdigital.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/ermdigital.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/ermdigital.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/ermdigital.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=71157"}],"version-history":[{"count":0,"href":"https:\/\/ermdigital.com\/index.php?rest_route=\/wp\/v2\/posts\/71157\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/ermdigital.com\/index.php?rest_route=\/wp\/v2\/media\/71158"}],"wp:attachment":[{"href":"https:\/\/ermdigital.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=71157"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/ermdigital.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=71157"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/ermdigital.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=71157"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}